Configuration de l’authentification LDAP
Vous pouvez configurer Citrix Gateway pour authentifier l’accès utilisateur avec un ou plusieurs serveurs LDAP.
L’autorisation LDAP nécessite des noms de groupes identiques dans Active Directory, sur le serveur LDAP et sur Citrix Gateway. Les caractères et la casse doivent également correspondre.
Par défaut, l’authentification LDAP est sécurisée à l’aide de Secure Sockets Layer (SSL) ou de Transport Layer Security (TLS). Il existe deux types de connexions LDAP sécurisées. Avec un type, le serveur LDAP accepte les connexions SSL ou TLS sur un port distinct du port utilisé par le serveur LDAP pour accepter les connexions LDAP effacées. Une fois que les utilisateurs ont établi les connexions SSL ou TLS, le trafic LDAP peut être envoyé via la connexion.
Les numéros de port pour les connexions LDAP sont les suivants :
- 389 pour les connexions LDAP non sécurisées
- 636 pour des connexions LDAP sécurisées
- 3268 pour les connexions LDAP non sécurisées Microsoft
- 3269 pour les connexions LDAP sécurisées Microsoft
Le second type de connexions LDAP sécurisées utilise la commande StartTLS et utilise le numéro de port 389. Si vous configurez les numéros de port 389 ou 3268 sur Citrix Gateway, le serveur tente d’utiliser StartTL pour établir la connexion. Si vous utilisez un autre numéro de port, le serveur tente d’établir des connexions à l’aide de SSL ou TLS. Si le serveur ne peut pas utiliser StartTLS, SSL ou TLS, la connexion échoue.
Si vous spécifiez le répertoire racine du serveur LDAP, Citrix Gateway recherche tous les sous-répertoires pour trouver l’attribut utilisateur. Dans les répertoires volumineux, cette approche peut affecter les performances. Pour cette raison, Citrix vous recommande d’utiliser une unité d’organisation spécifique.
Le tableau suivant contient des exemples de champs d’attributs utilisateur pour les serveurs LDAP :
| Serveur LDAP | Attribut utilisateur | Sensible à la casse |
|---|---|---|
| Serveur Microsoft Active Directory | sAMAccountName | Non |
| Novell eDirectory | ou | Oui |
| IBM Directory Server | Uid | Oui |
| Lotus Domino | CN | Oui |
| Sun ONE Directory (anciennement iPlanet) | uid ou cn | Oui |
Ce tableau contient des exemples de DN de base :
| Serveur LDAP | DN de base |
|---|---|
| Serveur Microsoft Active Directory | DC=citrix,DC=local |
| Novell eDirectory | ou=users,ou=dev |
| IBM Directory Server | cn=users |
| Lotus Domino | OU=City,O=Citrix, C=US |
| Sun ONE Directory (anciennement iPlanet) | ou=People,dc=citrix,dc=com |
Le tableau suivant contient des exemples de liaison DN :
| Serveur LDAP | Nom unique de liaison |
|---|---|
| Serveur Microsoft Active Directory | CN=Administrator, CN=Users, DC=citrix, DC=local |
| Novell eDirectory | cn=admin, o=citrix |
| IBM Directory Server | LDAP_dn |
| Lotus Domino | CN=Notes Administrator, O=Citrix, C=US |
| Sun ONE Directory (anciennement iPlanet) | uid=admin,ou=Administrators, ou=TopologyManagement,o=NetscapeRoot |
Remarque : Pour plus d’informations sur les paramètres du serveur LDAP, reportez-vous à la section Détermination des attributs dans votre annuaire LDAP.